Ransomware gerät immer wieder in die Schlagzeilen, weil diese Art von Cyberangriffen mit Schocktaktiken verbunden ist. Angriffe wie die Ransomware-Infektion der Colonial Pipeline hatten Auswirkungen auf die reale Welt und beeinträchtigten den Zugang zu Treibstoff für 50 Millionen Menschen in den USA.
Bei anderen, wie dem Ransomware-Angriff auf Acer, sind die Lösegeldforderungen so hoch, im Fall von Acer 50 Millionen Dollar, dass die Welt aufhorcht.
Ransomware ist jedoch nicht nur ein Problem für ein hochrangiges Unternehmen. Ein Bericht der Cyberedge Group aus dem Jahr 2022 ergab, dass 71 % der Unternehmen im Jahr 2021 von Ransomware betroffen sein werden.
Ransomware bringt den cyberkriminellen Banden, die hinter dieser fiesen Malware stecken, ein Vermögen ein. Chainanalysis schätzt, dass Ransomware-Banden im Jahr 2020 rund 692 Millionen US-Dollar in Kryptowährung verdient haben.
Große Summen, die durch Cyberkriminalität wie Ransomware ausgezahlt werden, werden wahrscheinlich zu weiteren Angriffen führen. Wie also kann ein durchschnittliches Unternehmen Ransomware-Angriffe verhindern?
Die fünf besten Methoden zur Verhinderung von Ransomware-Angriffen
Der Ransomware-Angriff auf Colonial Pipeline begann mit einem kompromittierten Passwort, das auf einer dunklen Website veröffentlicht wurde. Dieses Passwort befand sich höchstwahrscheinlich im Dark Web, weil es bei einem Phishing-Angriff gestohlen wurde. Das Hacken eines Mitarbeiterkontos ist das Tor zu einem Betriebssystem, und Phishing-Angriffe sind eine äußerst effektive Methode, um über bösartige Links oder Anhänge an Anmeldedaten zu gelangen.
Der Verizon Data Breach Investigation Report (DBIR) aus dem Jahr 2021 führt 61 % der Sicherheitsverletzungen auf kompromittierte Anmeldedaten zurück. Derselbe Bericht bringt ein Drittel dieser Verstöße mit Phishing in Verbindung. Ein Hacker muss nicht unbedingt das Konto eines Netzwerkadministrators kompromittieren, um privilegierten Zugang zu erhalten. Wenn der Hacker die Anmeldedaten eines Mitarbeiters hat, kann er sich innerhalb des Netzwerks Zugriffsrechte verschaffen.
Der Hacker nutzt Schwachstellen in anderer Software, z. B. im Kerberos-Protokoll und in Active Directory, um seine Privilegien zu erweitern, bis er die Schlüssel zum Schloss hat und nach Belieben Ransomware installieren (und Daten stehlen) kann.
Bei der Kette von Ereignissen, die zu einer Ransomware-Infektion führen, kommen bewährte Verfahren ins Spiel. Wenn Sie in dieser Angriffskette präventive Schichten aufbauen können, können Sie den Ransomware-Hacker in seinem Lauf stoppen.
Hier sind fünf der besten Möglichkeiten, um Ransomware-Angriffe zu verhindern:
Best Practice 1: Simulierte Phishing-Übungen
Diese bewährte Praxis bildet die Grundlage und kann Ransomware stoppen, bevor sie zu einem Vorfall wird. Phishing entwickelt immer raffiniertere Taktiken, und Spear-Phishing ist sogar noch raffinierter.
Viele Ransomware-Angriffe zielen beispielsweise auf eine bestimmte Art von Benutzer oder Mitarbeiterrolle ab. Die Angreifer verwenden dann die Art von Sprache, die typischerweise im E-Mail-Verkehr mit dieser Person verwendet wird, um deren Verhalten zu manipulieren. Simulierte Phishing-Übungen sollten diesen Grad an Raffinesse widerspiegeln und rollenbasierte Vorlagen zur Erstellung gefälschter Spam-E-Mails bieten.
Best Practice 2: Ganzheitliche Schulung des Sicherheitsbewusstseins
Phishing und Social Engineering bieten Einstiegspunkte in ein Netzwerk, indem sie einen Mechanismus zum Diebstahl von Anmeldedaten bereitstellen. Schulungen zum Sicherheitsbewusstsein sind eine weitere grundlegende Ebene der Ransomware-Prävention, die den Mitarbeitern ein Gefühl für die Bedeutung eines guten Sicherheitsverhaltens vermittelt.
Sicherheitshygiene, wie z. B. die Erstellung von Passwörtern und die Vermeidung der Weitergabe von Informationen in sozialen Medien, tragen dazu bei, eine proaktive Schicht um ein Unternehmen herum zu entwickeln. Mit rollenbasierten Phishing-Simulationen ist Security Awareness Training der effektivste Schutz vor Ransomware, um eine Sicherheitskultur zu schaffen.
Bewährte Praxis 3: Zero-Trust und Least Privilege
Privilegierte Benutzer können ein äußerst effektives Ziel für Ransomware-Angreifer sein. Als solche ziehen sie Cyberkriminelle an wie Bienen den Honig. Dies geht so weit, dass zwei Drittel der Unternehmen privilegierte Benutzer als ihre größte Insider-Bedrohung ansehen. Daher müssen privilegierte Benutzer als Gruppe betrachtet und entsprechend in den Arten von Phishing und Social Engineering geschult werden, die für sie am gefährlichsten sind.
Darüber hinaus muss eine Organisation eine Strategie für den Umgang mit diesen privilegierten Benutzern und dem Zugang zu Konten festlegen. Das Prinzip der geringsten Privilegien sollte den Rahmen dieser Strategie bilden. Dies entspricht einem Null-Vertrauens-Sicherheitsmodell, bei dem man niemals vertraut und immer die Zugriffsversuche überprüft, um den Zugriff auf einer granularen Ebene zu kontrollieren.
Zero-Trust-Sicherheit arbeitet mit Grundlagentechnologien wie Identitäts- und Zugriffsmanagement (IAM) und Regeln, die diese Maßnahmen auslösen, um robuste Kontrollen und Maßnahmen zu implementieren, wie z. B. die Anforderung einer zusätzlichen Authentifizierung für den Zugriff auf sensible Ressourcen.
Best Practice 4: Beziehen Sie auch Remote-Mitarbeiter in Ihre Strategie zur Ransomware-Prävention ein
Die Covid-19-Pandemie hat das hybride Arbeitsmodell normalisiert, bei dem wir manchmal von zu Hause aus arbeiten. Fernarbeit verändert die Sicherheitsdynamik und verschafft den Cyberkriminellen möglicherweise einen Vorsprung. Mit spezifischen Ansätzen und Maßnahmen können Hacker jedoch den Spieß umdrehen und Heimarbeiter erpressen.
Eine davon ist die Verwendung eines sicheren VPN (Virtual Private Network). Ein VPN erweitert die Sicherheit eines Netzwerks auf das Heimbüro. Ein sicheres VPN verschlüsselt Daten, die über potenziell unsichere Wi-Fi-Verbindungen gesendet werden, um zu verhindern, dass Informationen wie persönliche Daten oder Anmeldedaten von einem Hacker abgefangen werden. Ein VPN kann auch verwendet werden, um sicherzustellen, dass der Zugriff auf Unternehmensanwendungen gesichert ist.
Neben einem sicheren VPN sollten Heimarbeitsplätze auf potenzielle Sicherheitslücken, einschließlich unsicherer Heimdrucker, untersucht werden. Darüber hinaus sollten die Heimarbeiter ein erweitertes Sicherheitstraining erhalten, das auf ihre Arbeitsumgebung abgestimmt ist.
Best Practice 5: Sichern Sie Ihr Netzwerk nach einem Sicherheitsstandard und führen Sie regelmäßige Bewertungen durch
Mehrere Sicherheitsrahmenwerke und -standards bieten Ratschläge zur Durchsetzung robuster Sicherheit und zum Schutz Ihrer Endpunkte.
Das National Institute for Standards and Technology (NIST) hat ein Rahmenprofil für Cybersicherheit für das Risikomanagement von Ransomware veröffentlicht. Es liegt derzeit im Entwurf vor, ist aber eine gute Quelle für Ratschläge zur Verhinderung eines Ransomware-Angriffs. Das Papier basiert auf den fünf Funktionen des Cybersicherheitsrahmens (ebenfalls von NIST):
- Identifizieren Sie
- Schützen Sie
- Erkennen Sie
- Antworten Sie
- Wiederherstellen
Das Framework umfasst unsere fünf Best Practices zur Behebung des Ransomware-Risikos.
ISO27001 ist ein internationaler Sicherheitsstandard, der die Entwicklung eines ISMS (Informationssicherheits-Managementsystem) leitet. ISO27001 verwendet einen ganzheitlichen Sicherheitsansatz, der Menschen, Prozesse und Technologie einbezieht. Dieser Rahmen deckt die gesamte Bedrohungslandschaft ab und umfasst Social Engineering und technische Exploits.
Rahmenwerke und Normen bilden die Grundlage für die Anwendung bewährter Sicherheitsverfahren. Sie enthalten auch Leitlinien für die Bewertung dieser Maßnahmen, die das Sicherheitsbewusstsein der Mitarbeiter und die Sicherheitshygiene einschließen.
Ransomware ist eine ernsthafte Bedrohung für alle Unternehmen. Allerdings lässt sich Ransomware durch die Anwendung unserer fünf Best Practices und eine systematische Abwehr dieser höchst bedenklichen Cyber-Bedrohung eindämmen.
